CVE-2016-1415, CVE-2016-1464, CVE-2016-5429
CVE-2016-5430, CVE-2016-6377

[보안뉴스 문가용] 현지 시각으로 9월 3일, 우리나라 시간으로는 대략 3일에서 4일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.



1. CVE-2016-1415
시스코 WebEx Meetings Player T29.10의 취약점으로 WRF 파일 호환이 활성화되었을 때 원격의 공격자가 조작된 파일로 DoS 공격을 할 수 있게 해준다. Bug ID CSCuz80455와 동일하다.

2. CVE-2016-1464
시스코 WebEx Meetings Player T29.10의 취약점으로 WRF 파일 호환이 활성화되었을 때 원격의 공격자가 조작된 파일을 통하여 임의의 코드를 실행할 수 있게 해준다. Bug ID CSCva09375와 동일하다.

3. CVE-2016-5429
jose-php 2.2.1 이전 버전의 취약점으로 HMAC 비교 시 constant-time을 사용하지 않는다. 원격의 공격자가 타이밍 공격으로 민감한 정보를 취득하는 것을 쉽게 만들어 준다. JWE.php및 JWS.php와 관련이 있다.

4. CVE-2016-5430
jose-php 2.2.1 이전 버전의 JWE.php의 JOSE_JWE 클래스에 있는 RSA 1.5 알고리즘 도입에 있는 취약점으로 Random Filling 보호 메커니즘이 부재하다. 이로써 원격의 공격자가 평문 데이터를 취득하는 게 쉬워진다.

5. CVE-2016-6377
시스코 Virtual Media Packager(VMP)의 Media Origination System Suite Software 2.6 버전 및 그 이전 버전의 취약점으로 원격의 공격자가 인증 과정을 우회하고 임의의 PAM API 요청을 발신할 수 있게 해준다. Bug ID CSCuz52110과 동일하다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>